Recomendaciones sobre la política Servicios seguros y fiables en la nube
La oportunidad Puesto que la computación en nube da lugar a nuevas y poderosas posibilidades, esta ofrece el potencial de aumentar la productividad, reducir costes e impulsar nuevos niveles de innovación, seguridad y adaptación. Pero también crea nuevos riesgos, proporcionando nuevas vías de ataque para agentes maliciosos e introduciendo nuevas complejidades que requerirán una nueva evaluación de las prácticas y las políticas actuales. Nube segura El desafío Para hacer frente a los riesgos y amenazas de la era de la computación en la nube, los gobiernos tendrán que adaptar los programas y políticas de seguridad existentes, y mejorar los enfoques actuales para garantizar la seguridad y la resiliencia de sus sistemas. Para lograr esto, se requerirán nuevos marcos que incorporen la toma de decisiones activa basada en el riesgo y la colaboración entre asociaciones públicas y privadas. Dada la naturaleza global de las amenazas a la seguridad, las asociaciones transfronterizas y los enfoques legales armonizados también serán importantes. Recomendaciones sobre la política Los gobiernos reconocen que los servicios en la nube ofrecen un enorme valor y pueden ayudar a los sectores públicos y privados a ofrecer nuevos y mejores servicios a los ciudadanos y clientes. Como resultado, los gobiernos se están moviendo más allá de las preguntas sobre si se debe aplicar planteamientos de computación en la nube y la infraestructura, y ahora se centran en la creación de marcos reguladores para asegurar que se utilizan servicios seguros s, sobre todo para las cargas de trabajo que involucran datos sensibles. Para lograr esto, se recomienda lo siguiente:
Nube segura Establecer procesos de gestión de riesgos. Las políticas de la nube deberían dar prioridad a la evaluación, gestión y mitigación del riesgo en la prestación de servicios en la nube para el gobierno. Los gobiernos deben implementar procesos de gestión de riesgos en sus entornos informáticos que les permitan mejorar su perfil de riesgo, ya sea en las instalaciones o en la nube. También deben esforzarse por distinguir entre los riesgos que son comunes en los gobiernos o departamentos (por ejemplo, controles de acceso lógico) y los riesgos únicos (tales como los relacionados con el acceso a la información personal de salud). Distinguir los riesgos comunes y únicos ayudará a determinar cómo manejar ciertos riesgos y cuándo utilizar las normas internacionales. Estructurar un programa de garantía de la nube diseñado para alcanzar objetivos equilibrados. El establecimiento de un programa de garantía de la nube permite a los gobiernos adoptar soluciones seguras en la nube para la entrega y la ampliación de los servicios. Dichos programas deben ser estructurados para equilibrar los objetivos de seguridad con los objetivos de rendimiento e innovación. El marco debe tener en cuenta las funciones que desempeñan las partes interesadas, incluyendo a los gobiernos (así como al regulador y al cliente), proveedores de servicios, y terceros. También debería establecer procesos para llevar a cabo un análisis inicial de prácticas de seguridad necesarias frente a puntos de partida y realizar las evaluaciones continuas de conjuntos más pequeños de prácticas y controles. Establecer medidas de seguridad de partida alineadas con, o basadas, en las mejores prácticas probadas. Cómo afrontan los gobiernos el desarrollo e implementación de los puntos de partida de la seguridad tendrá un profundo efecto en la seguridad y el desarrollo económico. Los enfoques fragmentados e inconsistentes redirigirán los recursos limitados de la seguridad hacia el cumplimiento. En lugar de ello, los gobiernos deben utilizar y adaptar las mejores
prácticas existentes, tales como el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología de (INET) para fomentar la seguridad y generar oportunidades económicas. Nube segura Requisitos previstos basados en el modelo de prestación de servicio en la nube. Los modelos de prestación de servicios en la nube varían significativamente en su arquitectura, función y uso. Por lo tanto, es importante que la seguridad sea gestionada proporcionalmente a los riesgos que surgen en los diferentes ambientes. Por ejemplo, debido a que la seguridad de las aplicaciones de software depende en gran medida de los controles de seguridad de la infraestructura subyacente sobre el que se construyen, los requisitos de seguridad deberían centrarse en el sistema de infraestructura directamente, en lugar de centrarse exclusivamente en la aplicación. Preservar y apoyar el intercambio de información voluntaria Muchos gobiernos se centran en aumentar la visibilidad de las ciberamenazas a sus entornos de tecnología y a servicios de infraestructuras críticas que operan en su país. Algunos han desarrollado marcos de notificación obligatoria de incidentes que obligan a la industria a informar a los reguladores en caso de incidentes graves. Los gobiernos deben preservar y apoyar a las comunidades de intercambio de información existentes que operan basadas en la confianza mutua. Debido a que el intercambio de información es más eficaz cuando es bidireccional, los gobiernos también deben compartir la información obtenida mediante el análisis estratégico de la divulgación de información de incidentes para ayudar a las empresas del sector privado a hacer frente a las nuevas amenazas. Implementar un sistema de clasificación de datos para la nube. La clasificación de datos es el proceso de dividir los datos en categorías diferentes basadas en los niveles de sensibilidad y perfiles de riesgo, para a continuación articular los controles de seguridad necesarios para cada nivel con el fin de gestionar los
Nube segura riesgos de manera apropiada. Tener un sistema de clasificación de los datos específico para la nube ayudará a las empresas y agencias gubernamentales a identificar tanto sus materiales más y menos sensibles, como a evaluar los costes y beneficios de almacenar diferentes niveles de materiales sensibles en la nube. En la medida en que sea posible, los gobiernos pueden adaptar los esquemas de clasificación de datos existentes en los datos almacenados en la nube. Aprovechar los estándares mundiales. Debido a que los gobiernos de todo el mundo tienen muchos riesgos en común y la computación en la nube utiliza la agregación y escala para reducir los costes y mejorar el rendimiento, mediante el aprovechamiento de los estándares mundiales como la base de sus certificaciones de seguridad en la nube, los gobiernos pueden mejorar la eficiencia, reducir los costes y mejorar la competencia en el mercado. Las líneas de base deben ser lo suficientemente amplias como para minimizar la necesidad de que las organizaciones añadan sus propios controles, pero no tan amplias que abarquen controles únicos que no se utilicen ampliamente. Desarrollar un modelo de cumplimiento de seguridad común para las TIN. Debido a que todos los sectores de la economía dependen de la tecnología digital, existe un alto grado de uniformidad de los riesgos y los controles en todos los sectores, sin embargo hay también algunos riesgos que son únicos para cada uno de ellos. Para los riesgos comunes, los gobiernos deben desarrollar un modelo de cumplimiento de seguridad que establezca los objetivos y los estándares mínimos de seguridad para los sectores regulados, pero que también permita a esos sectores establecer un subconjunto más pequeño de requisitos adicionales apropiados para sus entornos operativos únicos.